Shared Drives nur durch Admins anlegen lassen

Standardmäßig können alle Benutzer in einer G Suite-Domäne Shared Drives anlegen. Das mag für viele Organisationen gut funktionieren, aber gerade in größeren Konzernen ist etwas mehr Kontrolle durch die Administration erforderlich.

Es ist daher wünschenswert, dass die Anlage von neuen Shared Drives nur durch die Administration erfolgen darf.

Einführung in Settings eines Shared Drives

Bevor wir die Einstellung vornehmen, zunächst einmal eine kurze Erklärung, wie Einstellungen für Apps in der G Suite vorgenommen werden.

Wichtig ist, dass es sich hier um eine Einstellung handelt und nicht unbedingt ein Privileg oder Recht im klassischen Sinne (also keine ACL oder ähnliches). Es handelt sich um ein Setting für eine App (Google Drive).

Settings werden jeweils pro Organisationseinheit (OU) definiert. Ein Filtern über Gruppen ist (aktuell) nicht möglich.

Damit unser gewünschtes Szenario also funktionieren kann, müssen wir dafür sorgen, dass unsere Admins sich in einer anderen OU befinden, als unsere “normalen” User.

Separieren von Admin-Accounts

Der erste Schritt ist also, eine neue OU anzulegen (wenn die Admin-Accounts bereits in einer separaten OU sind, kann dieser Schritt übersprungen werden).

Neue OU anlegen

Für die Anlage einer neuen OU gehen wir wie folgt vor:

1. Zunächst öffnen wir die Admin Console.
2. Im Seitenmenü wählen wir dann “Verzeichnis” -> “Organisationseinheiten”:

   

3. Dort sehen wir eine Übersicht über unsere Organisationseinheiten. Um eine neue OU anzulegen, klicken wir auf das gelbe Symbol mit dem “+”:

   

4. Name und (optional) Beschreibung eingeben, Parent wählen und “Anlegen” klicken:

   

Admin-Accounts verschieben

Als nächstes müssen wir unsere Admin-Accounts in die neue OU verschieben. Dazu gehen wir wie folgt vor:

1. Wenn noch nicht offen, öffnen wir wieder die Admin Console.
2. Im Seitenmenü wählen wir dann “Verzeichnis” -> “Benutzer”:

   

3. Dort können wir unsere Admins “anhaken” und alle auf einmal verschieben, indem wir dann oben rechts auf das Symbol mit dem Benutzer und dem Pfeil klicken:

   

4. Wir wählen dann unsere neue OU aus und klicken auf “Weiter”:

   

5. Wir werden dann noch auf einige wichtige Punkte hingewiesen, was ein “Move” zur Folge hat:

   

   Es wird außerdem darauf hingewiesen, dass es bis zu 24 Stunden dauern kann, bis alle Einstellungen greifen. Dies hängt stark von den Einstellungen ab, aber nach meiner Erfahrung werden fast alle Einstellungen sofort geändert.
   Diesen Dialog müssen wir bestätigen.

Gruppe für Admins anlegen

Das Verwalten von Gruppen in der G Suite geschieht ebenfalls über den Menüpunkt “Verzeichnis”:

Um eine neue Gruppe anzulegen, klicken wir auf “Gruppe anlegen”:

Als nächstes müssen wir ein paar Grundinformationen für unsere Gruppe angeben:

Wichtig: Die E-Mail-Adresse ist in der G Suite ein Pflichtfeld für alle Gruppen und Benutzer! Es kann im nächsten Bildschirm eingeschränkt werden wer an diese Adresse E-Mails schicken darf.

Optional können wir noch einen Owner angeben. Dies ist hauptsächlich interessant, wenn Google Groups for Business eingesetzt werden soll. Wir lassen das Feld hier leer.

Im nächsten Bildschirm können wir die Zugriffsrechte der verschiedenen Rollen definieren:

Eine genauere Erklärung würde hier zu weit führen. Da es sich um eine potentiell sensitive Gruppe handelt, entscheiden wir uns für eine möglichst restriktive Einstellung. Wir lassen auch keine externen Mitglieder zu.

Nach einem Klick auf “OK” sehen wir einen praktischen Bildschirm der uns die nächsten Schritte anbietet:

Wir entscheiden und für den ersten Punkt und fügen ein paar Mitglieder hinzu. Dazu klicken wir auf das gelbe “+”-Symbol:

Nach einem Klick auf “OK” werden unsere Benutzer hinzugefügt und wir erhalten eine entsprechende Meldung (unterer Bildschirmrand):

Hinweis: Die Mitglieder sind in der Regel erst sichtbar, wenn man die Gruppe erneut öffnet oder die Seite neu lädt (z.B. mit “F5”).

Anlage von Shared Drives einschränken

Da es sich um eine Einstellung in der Drive-App handelt, müssen wir die Einstellungen dieser App öffnen. Dazu gehen wir wie folgt vor:

1. Wenn noch nicht offen, öffnen wir wieder die Admin Console.
2. Im Seitenmenü wählen wir dann “Apps” -> “G Suite” -> ”Drive und Docs”:

   

3. Dort wählen wir das Untermenü “Freigabeeinstellungen” aus:

   

   (Es sollte der erste Punkt in der Liste sein.)

4. Auf der nächsten Seite finden wir dann den Punkt “Teamablagen erstellen”:

   

5. Hier gibt es dann die Einstellung, die wir vornehmen möchten: “Verhindern, dass Nutzer in <Domain> neue Teamablagen erstellen”.
6. Diese Einstellung möchten wir nun zunächst für die gesamte Domäne aktivieren. Dazu vergewissern wir uns, dass wir links die Domäne als OU ausgewählt haben und NICHT unsere Admins-OU!
   Dies verhindert erst einmal, dass irgendjemand (inklusive Admins) Shared Drives anlegen. Im nächsten Schritt werden wir unseren Admins erlauben, dies zu tun.

7. Um die Einstellung zu ändern, klicken wir auf das Stift-Symbol rechts. Anschließend ändern wir die Einstellung zu “AN” (angehakt) und klicken auf “Speichern”:

   

8. Als nächstes wechseln wir zu unserer Admins-OU, indem wir sie links in der Liste auswählen:

   

9. Jetzt nehmen wir den Haken, den wir eben gesetzt haben, wieder raus:

   

10. Nachdem wir die Einstellung gespeichert haben, sollte alles so aussehen:

    

Weitere Info

Wir unterstützen als Identity- und Directory Spezialist mittelständische und Großunternehmen bei der Konzeption, Migration und Kopplung von unterschiedlichen Directorys.
Sie suchen einen Partner für Ihr Vorhaben? Wir freuen uns auf Ihre Kontaktaufnahme!

Kontaktieren